Šifrirane poruke na više uređaja mogu povećati rizik, kažu stručnjaci

December 02, 2021
UVijesti Sigurnost Na Internetu

click fraud protection

Ključni za poneti

WhatsApp je beta testiranje mogućnosti više uređaja s malom grupom korisnika.
Nova značajka omogućit će korisnicima sinkronizaciju komunikacija na četiri dodatna uređaja.
Stručnjaci kažu da bi moglo doći do kompromisa u vezi s privatnošću kada se komunicira na različitim uređajima, čak i kada su šifrirani.

ručni rad s mobilnim telefonom i prijenosnim računalom s tehnologijom digitalne grafike — Busakorn Pongparnit / Getty Images

Nakon srpanjske objave da mogućnosti više uređaja bile su u beta fazi, korisnici WhatsAppa obradovali su se ideji da se mogu prijaviti na nekoliko uređaja. Ali hoće li dodatna pogodnost doći s kompromisima za privatnost? Evo što trebate znati.

Unatoč svom hvaljeni protokol za šifriranje, popularna aplikacija za razmjenu poruka ima doći pod vatru a nekoliko puta u zadnjih godina (i, ovaj, jučer) zbog brojnih ranjivosti, što dovodi do pitanja o njegovoj sigurnosti. Stručnjaci upozoravaju da također može doći do kompromisa pri povezivanju više uređaja s bilo kojom šifriranom komunikacijskom aplikacijom.

"[Pitanje] nije samo dodavanje više uređaja, već jesu li oni uvijek sigurni?"

Steven M. Bellovin, profesor informatike na Sveučilištu Columbia, rekao je za Lifewire u telefonskom intervjuu. "Sigurnosna fraza je 'površina napada'—na koliko mjesta možete biti napadnuti i na koliko različitih načina?"

Tehnički siguran

Prema Bellovinu, jedno od najzahtjevnijih pitanja vezanih uz osiguranje više uređaja pod jednim računom počinje s osnovnim temeljima enkripcije.

"Sva enkripcija ovisi o tajnom ključu", rekao je Bellovin, uspoređujući ključeve za šifriranje s ključevima automobila koji mogu pokrenuti samo automobil kojem pripadaju. „Svaka osoba mora imati svoje. Zato je možete čitati, a nitko drugi ne može."

Budući da svaka aplikacija koja se oslanja na end-to-end enkripciju (E2EE) koristi određeni protokol koji se temelji na temeljnim načelima rukovanja ključevima i imenskog prostora (potonji je obično telefonski broj korisnika), Bellovin je rekao da je izazov pronaći način za sigurno premještanje ključeva i autentifikaciju vlasnika na više uređaja – nešto što je rekao "nije lako pitanje."

Ključevi Kraljevstva

Kao i njegovi konkurenti, WhatsApp već dopušta korisnicima da se prijave na računalo sve dok su također prijavljeni na pametni telefon koji je povezan s njihovim ključem (tvrtka kaže da onda zrcali račun). Međutim, prema beta sustavu, svaki sinkronizirani uređaj imat će svoj ključ – što korisnicima omogućuje prijavu na četiri dodatna uređaja bez telefona.

"[Pitanje] nije samo dodavanje više uređaja, već jesu li oni uvijek sigurni?"

"E2EE obično koristi jedan ključ za šifriranje po korisniku, koji mora kopirati ključ na svaki uređaj koji želi koristiti... Zato WhatsApp, do sada je podržavao samo jedan uređaj - jer je teško čuvati taj ključ za šifriranje sigurnim i sigurnim dok ga premještate na više uređaji," John S. Koh, sigurnosni istraživač čiji je rad usredotočen na E2EE pristup za više uređaja koji se naziva ključevi po uređaju (PDK), rekao je za Lifewire u e-poruci.

„S PDK-om, umjesto da korisnici imaju samo jedan ključ za šifriranje, svaki od uređaja korisnika ima svoj vlastiti ključ za šifriranje. Čini se da WhatsApp uzima ovaj koncept i naziva ključeve uređaja 'identifikacijskim ključevima'", rekao je Koh. „Jedna od prednosti E2EE na više uređaja koji koriste moj, a vjerojatno i WhatAppov pristup koji se oslanja na jedan ključ po uređaju, jest da je model korištenja puno lakši za razumijevanje korisnicima. Kompromis je krajnji slučaj kada korisnici gube svoje uređaje i moraju im ukloniti pristup, što bi ponekad mogao biti naporan proces."

Više uređaja, ista rješenja

"Odgovor na pitanje je li nešto sigurno uvijek počinje drugim pitanjem, koje glasi: 'Koje su vaše potrebe?'" Maritza Johnson, stručnjak za sigurnost i privatnost i direktor centra na Sveučilištu u San Diegu, rekao je za Lifewire u telefonskom intervjuu.

Kako bi se zadovoljile individualne sigurnosne potrebe, priopćio je Facebook post na blogu da WhatsApp planira ponuditi mogućnost pregleda svih uređaja povezanih s računom, da vidite kada su zadnji put korišteni, i odjaviti se na daljinu – nešto što je Johnson rekao da je važno, posebno za žrtve partnerskog zlostavljanja koje su ponekad mete cyberstalkinga.

čovjek koji koristi mobilni telefon pregledavajući internet, radi preko prijenosnog računala na stolu u kućnom uredu — Tippapatt / Getty Images

"Ne želite da telefon vašeg bivšeg dečka dobiva kopiju svega, a ne znate ili ne znate kako ga isključiti", rekao je Johnson. "To je osobna odluka, ako se želite prijaviti na svoj WhatsApp račun na zajedničkom uređaju i razmisliti o tome kakve bi implikacije to moglo biti."

Johnson je također naglasio važnost osiguravanja da svaki povezani uređaj bude zaštićen lozinkom kako bi se izbjeglo da mu netko drugi fizički pristupi – nešto od čega najjača enkripcija ne može zaštititi.

"Svako prijenosno računalo, tablet ili drugi uređaj koji koristite s istim računom, želite biti sigurni da imaju istu osnovnu razinu sigurnosti na svim njima... tako da netko ne može jednostavno prijeći prstom za otvaranje", rekao je Johnson.